귀하의 경험을 개선할 수 있도록 도와주십시오.

귀하의 의견을 알려주십시오.

2분이 소요되는 설문 조사에 시간을 내주시겠습니까?

Announcement: Our new, consolidated Junos CLI Reference is now available.

close
external-header-nav
keyboard_arrow_up
close
keyboard_arrow_left
list Table of Contents

이 기계 번역이 도움이 되었습니까?

starstarstarstarstar
Go to English page
면책 조항:

이 페이지는 타사 기계 번역 소프트웨어를 사용해 번역됩니다. 주니퍼 네트웍스에서는 우수한 품질의 번역을 제공하기 위한 합리적인 수준의 노력을 기울이지만 해당 컨텐츠의 정확성을 보장할 수 없습니다. 본 번역에 포함된 정보의 정확성과 관련해 의문이 있는 경우 영문 버전을 참조하시기 바랍니다. 다운로드 가능한 PDF는 영어로만 제공됩니다.

VRF 라우팅 인스턴스에 대한 NAT

date_range 21-May-24

NAT 개요

NAT(네트워크 주소 변환)는 패킷 헤더의 네트워크 주소 정보를 수정하거나 변환하는 방법입니다. NAT는 IPv4 주소 고갈 문제를 해결하기 위해 RFC 1631에 설명되어 있습니다. NAT는 방화벽, 트래픽 리디렉션, 로드 공유 및 네트워크 마이그레이션에 유용한 도구입니다.

SD-WAN 구축 시 SRX 시리즈 방화벽은 허브 및 스포크 위치에 구축됩니다. 여러 사이트가 스포크 SRX 시리즈 방화벽에 연결되어 있습니다. 패킷은 이러한 사이트에서 공용 인터넷 서버 또는 원격 사이트로 전송됩니다. 허브에서 보안 처리가 완료된 후 패킷을 검사하여 대상이 공용 인터넷 서버인지 MPLS 다음 홉 디바이스인지 확인합니다. 대상이 공용 인터넷 서버인 경우 NAT는 VRF(가상 라우팅 및 포워딩) 전용 IP 주소를 공용 IP 주소로 변환하고 세션을 설정합니다. 마찬가지로, 퍼블릭 인터넷 서버의 트래픽이 VRF 프라이빗 네트워크에 도달하려면 NAT가 필요합니다.

주니퍼 네트웍스 디바이스에서 지원되는 네트워크 주소 변환(NAT) 유형은 다음과 같습니다.

  • 정적 네트워크 주소 변환(NAT)

  • 대상 NAT

  • 소스 NAT

예: VRF 인스턴스의 프라이빗 IP 주소를 다른 VRF 인스턴스의 프라이빗 IP 주소로 변환하도록 소스 NAT 구성

이 예에서는 두 MPLS 네트워크 간에 소스 NAT를 구성하는 방법을 설명합니다.

요구 사항

시작하기 전에

예제 사전 요구 사항

  • 소프트웨어 요구 사항: Junos OS 릴리스 15.1X49-D160에서만 지원됩니다.

  • 하드웨어 요구 사항: SRX 시리즈 방화벽 디바이스.

개요

소스 NAT는 주니퍼 네트웍스 디바이스에서 나가는 패킷의 소스 IP 주소를 변환하는 것입니다. 소스 NAT는 프라이빗 IP 주소를 가진 호스트가 퍼블릭 네트워크에 액세스할 수 있도록 허용하는 데 사용됩니다.

이 예에서 SRX 시리즈 방화벽은 두 개의 MPLS 프라이빗 네트워크를 연결하여 프라이빗 IP 주소를 한 VRF의 프라이빗 IP 주소에서 다른 VRF의 프라이빗 IP 주소로 변환합니다. 그림 1에서 스포크 SRX 시리즈 방화벽은 허브 SRX 시리즈 방화벽에 연결된 VRF-a 및 VRF-b 라우팅 인스턴스로 구성되어 있습니다. 사이트 C와 사이트 D는 다른 스포크 SRX 시리즈 방화벽에 연결되어 있습니다. 허브 SRX 시리즈 방화벽에서 VRF-a 및 VRF-b 라우팅 인스턴스의 소스 IP 주소 192.168.1.200 및 192.168.1.201은 203.0.113.200 및 203.0.113.201로 변환됩니다.

그림 1: 소스 NAT 변환 Source NAT conversion

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

content_copy zoom_out_map
set routing-instances VRF-a instance-type vrf
set routing-instances VRF-a route-distinguisher 30:200
set routing-instances VRF-a vrf-target target:100:100
set routing-instances VRF-a vrf-table-label
set routing-instances VRF-b instance-type vrf
set routing-instances VRF-b route-distinguisher 40:200
set routing-instances VRF-b vrf-target target:200:100
set routing-instances VRF-b vrf-table-label
set routing-instances VRF-a1 instance-type vrf
set routing-instances VRF-a1 route-distinguisher 60:200
set routing-instances VRF-a1 vrf-target target:300:100
set routing-instances VRF-a1 vrf-table-label
set routing-instances VRF-b1 instance-type vrf
set routing-instances VRF-b1 route-distinguisher 50:200
set routing-instances VRF-b1 vrf-target target:400:100
set routing-instances VRF-b1 vrf-table-label
 set security nat source pool vrf-a_p address 203.0.113.200
set security nat source rule-set vrf-a_rs from routing-instance VRF-a 
set security nat source rule-set vrf-a_rs to routing-instance VRF-a1
set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200
set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p
set security nat source pool vrf-b_p address 203.0.113.201
set security nat source rule-set vrf-b_rs from routing-instance VRF-b
set security nat source rule-set vrf-b_rs to routing-instance VRF-b1
set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 
set security nat source rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다.

소스 NAT 매핑을 구성하려면 다음을 수행합니다.

  1. 레이어 3 VPN은 네트워크 내에서 경로를 배포하기 위해 VRF 테이블이 필요합니다. VRF 인스턴스를 생성하고 값을 vrf지정합니다.

    content_copy zoom_out_map
    [edit routing-instances]
    user@host#set VRF-a instance-type vrf
    user@host#set VRF-b instance-type vrf
    user@host#set VRF-a1 instance-type vrf
    user@host#set VRF-b1 instance-type vrf
    
  2. 라우팅 인스턴스에 경로 식별자를 할당합니다.

    content_copy zoom_out_map
    [edit routing-instances]
    user@host#set VRF-a route-distinguisher 30:200
    user@host#set VRF-b route-distinguisher 40:200
    user@host#set VRF-a1 route-distinguisher 60:200
    user@host#set VRF-b1 route-distinguisher 50:200
    
  3. 모든 경로를 가져오거나 내보내는 커뮤니티 정책을 만듭니다.

    content_copy zoom_out_map
    [edit routing-instances]
    user@host#set VRF-a vrf-target target:100:100
    user@host#set VRF-b vrf-target target:200:100
    user@host#set VRF-a1 vrf-target target:300:100
    user@host#set VRF-b1 vrf-target target:400:100
    
  4. VRF의 모든 경로에 대해 단일 VPN 레이블을 할당합니다.

    content_copy zoom_out_map
    [edit routing-instances]
    user@host#set VRF-a vrf-table-label
    user@host#set VRF-a1 vrf-table-label
    user@host#set VRF-b vrf-table-label
    user@host#set VRF-b1 vrf-table-label
    
  5. 소스 NAT 풀을 생성합니다.

    content_copy zoom_out_map
    [edit security nat source]
    user@host#set vrf-a_p address 203.0.113.200
    user@host#set vrf-b_p address 203.0.113.201
    
  6. 소스 NAT 규칙 세트를 생성합니다.

    content_copy zoom_out_map
    [edit security nat source]
    user@host#set rule-set vrf-a_rs from routing-instance VRF-a 
    user@host#set rule-set vrf-a_rs to routing-instance VRF-a1
    user@host#set rule-set vrf-b_rs from routing-instance VRF-b 
    user@host#set rule-set vrf-b_rs to routing-instance VRF-b1
    
  7. 패킷을 일치시키고 소스 IP 주소를 소스 NAT 풀의 IP 주소로 변환하는 규칙을 구성합니다.

    content_copy zoom_out_map
    [edit security nat source]
    user@host# set rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 
    user@host# set rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p
    user@host# set rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201
    user@host# set rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
    
결과

구성 모드에서 및 show routing-instances 명령을 입력하여 show security nat 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

content_copy zoom_out_map
[edit]
user@host# show security nat
    source {
        pool vrf-a_p {
            address {
                203.0.113.200/32;
            }
        }
        pool vrf-b_p {
            address {
                203.0.113.201/32;
            }
        }
        rule-set vrf-a_rs {
            from routing-instance VRF-a;
            to routing-instance VRF-a1;
            rule rule1 {
                match {
                    source-address 192.168.1.200/32;
                }
                then {
                    source-nat {
                        pool {
                            vrf-a_p;
                        }
                    }
                }
            }
        }
        rule-set vrf-b_rs {
            from routing-instance VRF-b;
            to routing-instance VRF-b1;
            rule rule2 {
                match {
                    source-address 192.168.1.201/32;
                }
                then {
                    source-nat {
                        pool {
                            vrf-b_p;
                        }
                    }
                }
            }
        }
    }
content_copy zoom_out_map
[edit]
user@host# show routing-instances
    VRF-a {
        instance-type vrf;
        route-distinguisher 30:200;
        vrf-target target:100:100;
        vrf-table-label;
    }
    VRF-a1 {
        instance-type vrf;
        route-distinguisher 60:200;
        vrf-target target:300:100;
        vrf-table-label;
    }
    VRF-b {
        instance-type vrf;
        route-distinguisher 40:200;
        vrf-target target:200:100;
        vrf-table-label;
    }
    VRF-b1 {
        instance-type vrf;
        route-distinguisher 50:200;
        vrf-target target:400:100;
        vrf-table-label;
    }

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

소스 NAT 규칙 사용 확인
목적

소스 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security nat source rule all . Translation hits(변환 히트) 필드에서 소스 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.

content_copy zoom_out_map
user@host>show security nat source rule all
Total rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
source NAT rule: rule1                  Rule-set: vrf-a_rs
  Rule-Id                    : 1
  Rule position              : 1
  From routing instance      : VRF-a
  To routing instance        : VRF-a1
  Match
    Source addresses         : 192.168.1.200   - 192.168.1.200
  Action                        : vrf-a_p
    Persistent NAT type         : N/A
    Persistent NAT mapping type : address-port-mapping
    Inactivity timeout          : 0
    Max session number          : 0
  Translation hits           : 0
    Successful sessions      : 0
    Failed sessions          : 0
  Number of sessions         : 0
source NAT rule: rule2                  Rule-set: vrf-b_rs
  Rule-Id                    : 2
  Rule position              : 2
  From routing instance      : VRF-b
  To routing instance        : VRF-b1
  Match
    Source addresses         : 192.168.1.201   - 192.168.1.201
  Action                        : vrf-b_p
    Persistent NAT type         : N/A
    Persistent NAT mapping type : address-port-mapping
    Inactivity timeout          : 0
    Max session number          : 0
  Translation hits           : 0
    Successful sessions      : 0
    Failed sessions          : 0
  Number of sessions         : 0

예: 퍼블릭 IP 주소를 VRF 인스턴스의 VRF의 단일 프라이빗 IP 주소로 변환하도록 대상 NAT 구성

이 예에서는 패킷을 올바른 VRF 인스턴스로 전달하기 위해 공용 IP 주소의 대상 NAT 매핑을 단일 VRF의 프라이빗 주소로 구성하는 방법을 설명합니다.

요구 사항

개요

대상 NAT는 주니퍼 네트웍스 디바이스로 들어오는 패킷의 대상 IP 주소 변환입니다. 대상 NAT는 가상 호스트로 향하는 트래픽(원래 대상 IP 주소로 식별)을 실제 호스트(변환된 대상 IP 주소로 식별)로 리디렉션하는 데 사용됩니다.

이 예에서 SRX 시리즈 방화벽은 퍼블릭 IP 주소를 VRF 인스턴스의 VRF 프라이빗 IP 주소로 변환하기 위해 대상 NAT로 구성됩니다. 공용 IP 주소는 VRF 인스턴스별로 구성할 수 있습니다. 그림 2에서 SRX 시리즈 방화벽은 VRF-a와 VRF-b라는 두 개의 VRF 인스턴스로 구성되어 있습니다. SRX 시리즈 방화벽은 퍼블릭 IP 주소를 VRF 인스턴스의 프라이빗 IP 주소로 변환합니다.

그림 2: 대상 NAT Destination NAT

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

content_copy zoom_out_map
set routing-instances VRF-a instance-type vrf
set routing-instances VRF-a route-distinguisher 30:200
set routing-instances VRF-a vrf-target target:100:100
set routing-instances VRF-a vrf-table-label
set routing-instances VRF-b instance-type vrf
set routing-instances VRF-b route-distinguisher 40:200
set routing-instances VRF-b vrf-target target:200:100
set routing-instances VRF-b vrf-table-label
set security nat destination pool vrf-a_p routing-instance VRF-a
set security nat destination pool vrf-a_p address 192.168.1.200
set security nat destination rule-set rs from interface ge-0/0/0
set security nat destination rule-set rs rule vrf-a_r match destination-address 203.0.113.200
set security nat destination rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p
set security nat destination pool vrf-b_p routing-instance VRF-b
set security nat destination pool vrf-b_p address 192.168.1.201
set security nat destination rule-set rs from interface ge-0/0/1
set security nat destination rule-set rs rule vrf-b_r match destination-address 203.0.113.201
set security nat destination rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다.

단일 VRF에 대한 대상 네트워크 주소 변환(NAT) 매핑을 구성하려면 다음을 수행합니다.

  1. 레이어 3 VPN은 네트워크 내에서 경로를 배포하기 위해 VRF 테이블이 필요합니다. VRF 인스턴스를 생성하고 값을 vrf지정합니다.

    content_copy zoom_out_map
    [edit routing-instances]
    user@host#set VRF-a instance-type vrf
    user@host#set VRF-b instance-type vrf
    
  2. 라우팅 인스턴스에 경로 식별자를 할당합니다.

    content_copy zoom_out_map
    [edit routing-instances]
    user@host#set VRF-a route-distinguisher 30:200
    user@host#set VRF-b route-distinguisher 40:200
    
  3. 모든 경로를 가져오거나 내보내는 커뮤니티 정책을 만듭니다.

    content_copy zoom_out_map
    [edit routing-instances]
    user@host#set VRF-a vrf-target target:100:100
    user@host#set VRF-b vrf-target target:200:100
    
  4. VRF의 모든 경로에 대해 단일 VPN 레이블을 할당합니다.

    content_copy zoom_out_map
    [edit routing-instances]
    user@host#set VRF-a vrf-table-label
    user@host#set VRF-b vrf-table-label
    
  5. 대상 NAT IP 주소 풀을 지정합니다.

    content_copy zoom_out_map
    [edit security nat destination]
    user@host# set pool vrf-a_p address 192.168.1.200
    user@host# set pool vrf-b_p address 192.168.1.201
    
  6. 대상 풀에 라우팅 인스턴스를 할당합니다.

    content_copy zoom_out_map
    [edit security nat destination]
    user@host# set pool vrf-a_p routing-instance VRF-a
    user@host# set pool vrf-b_p routing-instance VRF-b
    
  7. 대상 NAT 규칙 세트를 생성합니다.

    content_copy zoom_out_map
    [edit security nat destination]
    user@host# set rule-set rs from interface ge-0/0/0
    user@host# set rule-set rs from interface ge-0/0/1
    
  8. 패킷을 일치시키고 대상 IP 주소를 대상 NAT IP 주소 풀의 IP 주소로 변환하는 규칙을 구성합니다.

    content_copy zoom_out_map
    [edit security nat destination]
    user@host# set  rule-set rs rule vrf-a_r match destination-address 203.0.113.200
    user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p
    user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201
    user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
    

결과

구성 모드에서 및 show routing-instances 명령을 입력하여 show security nat 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

content_copy zoom_out_map
[edit]
user@host# show security nat
    destination {
        pool vrf-a_p {
            routing-instance {
                VRF-a;
            }
            address 192.168.1.200/32;
        }
        pool vrf-b_p {
            routing-instance {
                VRF-b;
            }
            address 192.168.1.201/32;
        }
        rule-set rs {
            from interface [ ge-0/0/0.0 ge-0/0/1.0 ];
            rule vrf-a_r {
                match {
                    destination-address 203.0.113.200/32;
                }
                then {
                    destination-nat {
                        pool {
                            vrf-a_p;
                        }
                    }
                }
            }
            rule vrf-b_r {
                match {
                    destination-address 203.0.113.201/32;
                }
                then {
                    destination-nat {
                        pool {
                            vrf-b_p;
                        }
                    }
                }
            }
        }
    }
content_copy zoom_out_map
[edit]
user@host# show routing-instances
    VRF-a {
        instance-type vrf;
        route-distinguisher 30:200;
        vrf-target target:100:100;
        vrf-table-label;
    }
    VRF-b {
        instance-type vrf;
        route-distinguisher 40:200;
        vrf-target target:200:100;
        vrf-table-label;
    }

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

대상 NAT 규칙 사용 확인

목적

대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security nat destination rule all . Translation hits(변환 히트) 필드에서 대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.

content_copy zoom_out_map
user@host> show security nat destination rule all
Total destination-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Destination NAT rule: vrf-a_r                Rule-set: rs
  Rule-Id                    : 1
  Rule position              : 1
  From interface             : ge-0/0/0.0
                             : ge-0/0/1.0
    Destination addresses    : 203.0.113.200   - 203.0.113.200
  Action                     : vrf-a_p
  Translation hits           : 0
    Successful sessions      : 0
    Failed sessions          : 0
  Number of sessions         : 0
Destination NAT rule: vrf-b_r                Rule-set: rs
  Rule-Id                    : 2
  Rule position              : 2
  From interface             : ge-0/0/0.0
                             : ge-0/0/1.0
    Destination addresses    : 203.0.113.201   - 203.0.113.201
  Action                     : vrf-b_p
  Translation hits           : 0
    Successful sessions      : 0
    Failed sessions          : 0
  Number of sessions         : 0

예: VRF 인스턴스의 프라이빗 IP 주소를 퍼블릭 IP 주소로 변환하도록 정적 네트워크 주소 변환(NAT) 구성

이 예에서는 VRF 단일 프라이빗 IP 주소를 공용 IP 주소에 대한 정적 네트워크 주소 변환(NAT) 매핑을 구성하는 방법을 설명합니다.

요구 사항

네트워크 주소 변환(NAT)을 위한 SD-WAN 구축에서 SRX 시리즈 방화벽이 어떻게 작동하는지 알아보십시오. NAT 개요를 참조하십시오.

개요

이 예에서 SRX 시리즈 방화벽은 정적 NAT로 구성되어 VRF 인스턴스의 VRF 프라이빗 IP 주소를 VRF 인스턴스의 퍼블릭 IP 주소로 변환합니다. 정적 NAT는 소스 NAT 및 대상 NAT에 적용할 수 있습니다. 그림 3에서 SRX 시리즈 방화벽은 VRF-a와 VFR-b라는 두 개의 VRF 인스턴스로 구성되어 있습니다. SRX 시리즈 방화벽은 VRF 인스턴스의 프라이빗 IP 주소를 퍼블릭 IP 주소로 변환합니다.

그림 3: 정적 NAT Static NAT

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

content_copy zoom_out_map
set routing-instances VRF-a instance-type vrf
set routing-instances VRF-a route-distinguisher 30:200
set routing-instances VRF-a vrf-target target:100:100
set routing-instances VRF-a vrf-table-label
set routing-instances VRF-b instance-type vrf
set routing-instances VRF-b route-distinguisher 40:200
set routing-instances VRF-b vrf-target target:200:100
set routing-instances VRF-b vrf-table-label
set security nat static rule-set rs from interface ge-0/0/0
set security nat static rule-set rs rule vrf-a_r match static-address 203.0.113.200
set security nat static rule-set rs rule vrf-a_r then static-nat prefix 192.168.1.200
set security nat static rule-set rs rule vrf-a_r then static-nat prefix routing-instance VRF-a 
set security nat static rule-set rs from interface ge-0/0/1
set security nat static rule-set rs rule vrf-b_r match static-address 203.0.113.201
set security nat static rule-set rs rule vrf-b_r then static-nat prefix 192.168.1.201
set security nat static rule-set rs rule vrf-b_r then static-nat prefix routing-instance VRF-b 
단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다.

단일 VRF의 IP 주소에 대한 정적 네트워크 주소 변환(NAT) 매핑을 구성하려면 다음을 수행합니다.

  1. 레이어 3 VPN은 네트워크 내에서 경로를 배포하기 위해 VRF 테이블이 필요합니다. VRF 인스턴스를 생성하고 값을 vrf지정합니다.

    content_copy zoom_out_map
    [edit routing-instances]
    user@host#set VRF-a instance-type vrf
    user@host#set VRF-b instance-type vrf
    
  2. 라우팅 인스턴스에 경로 식별자를 할당합니다.

    content_copy zoom_out_map
    [edit routing-instances]
    user@host#set VRF-a route-distinguisher 30:200
    user@host#set VRF-b route-distinguisher 40:200
    
  3. 모든 경로를 가져오거나 내보내는 커뮤니티 정책을 만듭니다.

    content_copy zoom_out_map
    [edit routing-instances]
    user@host#set VRF-a vrf-target target:100:100
    user@host#set VRF-b vrf-target target:200:100
    
  4. VRF의 모든 경로에 대해 단일 VPN 레이블을 할당합니다.

    content_copy zoom_out_map
    [edit routing-instances]
    user@host#set VRF-a vrf-table-label
    user@host#set VRF-b vrf-table-label
    
  5. 정적 NAT 규칙 세트를 생성합니다.

    content_copy zoom_out_map
    [edit security nat static]
    user@host# set rule-set rs from interface ge-0/0/0
    user@host# set rule-set rs from interface ge-0/0/1
    
  6. 패킷을 일치시키고 패킷의 대상 주소를 개인 IP 주소로 변환하는 규칙을 구성합니다.

    content_copy zoom_out_map
    [edit security nat static]
    user@host# set rule-set rs rule vrf-a_r match static-address 203.0.113.200
    user@host# set rule-set rs rule vrf-a_r then static-nat prefix 192.168.1.200
    user@host# set rule-set rs rule vrf-a_r then static-nat prefix routing-instance VRF-a 
    user@host# set rule-set rs rule vrf-b_r match static-address 203.0.113.201
    user@host# set rule-set rs rule vrf-b_r then static-nat prefix 192.168.1.201
    user@host# set rule-set rs rule vrf-b_r then static-nat prefix routing-instance VRF-b 
    

결과

구성 모드에서 및 show routing-instances 명령을 입력하여 show security nat 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

content_copy zoom_out_map
[edit]
user@host# show security nat
    static {
        rule-set rs {
            from interface [ ge-0/0/0.0 ge-0/0/1.0 ];
            rule vrf-a_r {
                match {
                    destination-address 203.0.113.200/32;
                }
                then {
                    static-nat {
                        prefix {
                            192.168.1.200/32;
                            routing-instance VRF-a;
                        }
                    }
                }
            }
            rule vrf-b_r {
                match {
                    destination-address 203.0.113.201/32;
                }
                then {
                    static-nat {
                        prefix {
                            192.168.1.201/32;
                            routing-instance VRF-b;
                        }
                    }
                }
            }
        }
    }
content_copy zoom_out_map
[edit]
user@host# show routing-instances
    VRF-a {
        instance-type vrf;
        route-distinguisher 30:200;
        vrf-target target:100:100;
        vrf-table-label;
    }
    VRF-b {
        instance-type vrf;
        route-distinguisher 40:200;
        vrf-target target:200:100;
        vrf-table-label;
    }

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

정적 네트워크 주소 변환(NAT) 규칙 사용 확인

목적

정적 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security nat static rule . Translation hits(변환 히트) 필드에서 정적 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.

content_copy zoom_out_map
user@host> show security nat static rule all
Total static-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 4/0
Static NAT rule: vrf-a_r                Rule-set: rs
  Rule-Id                    : 1
  Rule position              : 1
  From interface             : ge-0/0/0.0
                             : ge-0/0/1.0
  Destination addresses      : 203.0.113.200
  Host addresses             : 192.168.1.200
  Netmask                    : 32
  Host routing-instance      : VRF-a
  Translation hits           : 0
    Successful sessions      : 0
    Failed sessions          : 0
  Number of sessions         : 0
Static NAT rule: vrf-b_r                Rule-set: rs
  Rule-Id                    : 2
  Rule position              : 2
  From interface             : ge-0/0/0.0
                             : ge-0/0/1.0
  Destination addresses      : 203.0.113.201
  Host addresses             : 192.168.1.201
  Netmask                    : 32
  Host routing-instance      : VRF-b
  Translation hits           : 0
    Successful sessions      : 0
    Failed sessions          : 0
  Number of sessions         : 0
external-footer-nav